Tutkija löysi Mac-tietokoneista erittäin vakavan tietoturvaongelman.

Apple on maksanut korkeimman tiedossa olevan palkkion sarjasta tietoturva-aukkoja. Niiden avulla hyökkääjä olisi voinut ottaa haltuunsa paitsi Macin web-kameran, myös koko tietokoneen, AppleInsider kirjoittaa.

Tutkija Ryan Pickren julkaisi löydöksistään pitkän ja teknisen selvityksen. Viime kädessä hyökkäyksen pystyi toteuttamaan Safari-selaimen ja iCloud-pilvipalvelun neljän eri haavoittuvuuden yhdistelmällä.

Jos käyttäjä olisi mennyt ansoitetulle verkkosivulle, hän olisi saanut ruutuunsa ponnahdusikkunan kuvan avaamiseksi. Yksi hyväksyvä klikkaus olisi avannut Mac-tietokoneen hyökkääjälle ja aiheuttanut paljon muutakin vahinkoa.

− Virhe antaa hyökkääjälle täyden pääsyn jokaiseen verkkosivuun, jolla uhri on koskaan vieraillut. Se tarkoittaa, että kameran päälle laittamisen lisäksi minun bugini voi myös hakkeroida esimerkiksi iCloud-, PayPal-, Facebook- ja Gmail-tilisi, Pickren kirjoittaa.

Ponnahdusikkunan esittämän tiedoston avaaminen tällä tavalla olisi jättänyt sen pysyvästi koneelle niin, että tiedostoon olisi voinut tehdä huomaamatta muutoksia jälkikäteen. Esimerkiksi alun perin viaton kuva olisi voinut muuttua hyökkäysaseeksi.

Kaiken päälle hyökkääjä olisi viime kädessä voinut saada täyden pääsyn Macin tiedostojärjestelmään hyödyntämällä Safari-selaimen laitteelle tallentamia verkkosivujen paikallisia kopioita.

Kameran käyttö olisi siis myös ollut mahdollista esimerkiksi uhrin vakoilemiseksi, joskin silloin kameran alla olisi palanut vihreä valo normaaliin tapaan. Teoriassa Mac-käyttäjä olisi voinut altistua esimerkiksi kiristykselle, jos hän olisi tehnyt kameran edessä asioita, joita ei halua läheisten tai pomon näkevän.

Apple korjasi haavoittuvuudet tämän vuoden alussa macOS Monterey 12.0.1:stä ja Safari 15 -selaimesta.

Ei ole tiedossa, onko haavoittuvuuksia käytetty todellisissa hyökkäyksissä. 100 500 dollarin eli noin 89 100 euron palkkio on suurin, jonka Applen tiedetään maksaneen. On mahdollista, että yhtiö on maksanut joskus enemmänkin, mutta summat on pidetty salassa.

